关注公众号回复“河南等保1028”获取“网络取证电子书”了解更多取证知识 |
《网络安全知识体系》
网络安全取证(十六)
云取证
5 云取证
云计算正迅速成为向互联网连接设备提供信息技术(IT)服务的主要模式。它给当前的法医工具、方法和流程带来了颠覆性挑战,也带来了质的新的法医机会。不难预见,在经过一段中间的调整期后,数字取证将进入一个以自动化程度大幅提高为标志的新时期,并将采用更加复杂的数据分析。云计算环境将极大地促进这一过程,但在对当前建立的工具和实践带来实质性改变之前。
5.1 云基础知识
从概念上讲,基于云的IT抽象了物理计算和通信基础设施,并允许客户根据需要租用尽可能多的计算能力。云系统有五个基本特征:按需自助服务、广泛的网络访问、资源池、快速弹性和可测量的服务。
图3:客户和云服务提供商在三种服务模型上拥有的云计算环境层:IaaS、PaaS和SaaS(公共云)
云是由一系列技术发展实现的,但其采用主要是由业务考虑因素推动的,这推动了组织和个人使用IT服务的方式的改变。因此,它也改变了软件的开发、维护和交付给客户的方式。云计算服务通常分为三种规范模型之一——软件即服务(SaaS)、平台即服务(PaaS)和基础设施即服务(IaaS)。在实际部署中,区别可能会变得模糊,许多云部署(和潜在的调查目标)包含了所有这些元素。
当我们将虚拟化计算环境视为一堆层时,最能理解模型之间的差异:存储和网络等硬件;虚拟化,包括允许虚拟机安装和生命周期管理的管理程序;安装在每个虚拟机上的操作系统;中间件和运行时环境;以及应用和数据。
每一个云模型都在堆栈中的不同级别上划分客户机和云服务提供商(CSP)之间的责任(图3)。在私有(云)部署中,整个堆栈由所有者托管,整个取证过程与
调查非云IT目标的问题。数据所有权是明确的,获取数据的法律和程序路径也是明确的;事实上,在这种情况下使用“云”一词对法医调查来说并不是特别重要。
在公共部署中,SaaS/PaaS/IaaS分类变得很重要,因为它表明了数据和服务责任的所有权。图3显示了不同服务模型下客户和服务提供商对层的典型所有权。在混合部署中,层所有权可以在客户和提供商之间分割,和/或在多个提供商之间分割。此外,它可以随着时间的推移而改变,例如,客户可能会处理私有基础设施上的基本负载,但会突然进入公共云以处理峰值需求或系统故障。
5.2 取证挑战
现有法医实践面临的主要技术挑战概括如下。
逻辑习得是常态。现有的取证工具集几乎是专门为处理先前计算的遗留工件而构建的。它依赖于不同操作系统子系统(如文件系统)的算法知识,以便解释从设备获取的数据的物理布局。
物理获取几乎完全不适用于云,在云中数据移动、资源共享、所有权和管辖权问题可能很复杂。云服务API正在成为执行数据采集的主要新接口。
云是权威数据源向云服务查询相关信息的另一个重要原因是,它们存储了计算和与用户交互的主要历史记录。客户机上的大多数剩余信息(如云驱动器)都是暂时的,并且往往来源不明。
日志记录很普遍。基于云的软件以不同的方式开发和组织。应用程序逻辑被分解为多个层和模块,这些层和模块通过定义良好的服务接口相互交互,而不是一段单一的代码。一旦软件组件及其通信正式化,就很容易组织广泛的记录系统的各个方面。事实上,为了能够调试、测试和监控云应用程序和服务,掌握这些信息变得至关重要。
这些发展表明(用户和系统活动的)日志成为法医信息的主要来源。直接的含义是,关于应用程序和工件的历史状态,更多的信息将被明确知道,而不是被推断出来。这将需要一套新的数据分析工具,并将彻底改变法医调查的方式。它还将在长期病例数据保存方面带来新的挑战。
分布式计算是常态。客户端/独立模型的关键属性是,实际上所有计算都在设备本身上进行。应用程序是单片的、自包含的代码,可以立即访问用户输入并立即使用,几乎没有留下任何痕迹。由于取证的很大一部分包括将观察到的系统状态归因于用户触发的事件,因此取证研究和开发一直在不懈地关注两个驱动问题——发现每一条日志/时间戳信息,以及提取应用程序或操作系统留下的每一条废弃数据。
云模型,特别是SaaS,完全打破了这种方法——计算在客户端和服务器之间进行,后者执行繁重的计算任务,前者主要执行用户交互功能。代码和数据是按需下载的,对于客户端来说没有持久的位置。直接后果是,绝大多数已建立的法医工具链变得无关紧要,这表明显然需要一种不同的方法。
5.3 SaaS取证
软件行业的传统交付模式是软件即产品(SaaP);也就是说,像任何物理产品一样获取的软件,由所有者安装在特定机器上,在那里执行所有计算。因此,数字取证的传统分析模型是以物理设备为中心的——调查员使用物理证据载体,如存储介质或集成计算设备(如智能手机)。在客户端(或独立)设备上,很容易识别计算的执行位置和结果/跟踪的存储位置。新的软件交付模式——软件即服务(SaaS)——是基于订阅的,直到大约十到十五年前快速宽带接入的广泛采用才开始实用。
云使得许多以设备为中心的方法——尤其是那些专注于低级物理采集和分析的方法——变得无关紧要。它还需要开发能够在新部署环境中工作的新工具,其中代码执行在服务器和客户端设备之间进行,主存储接口是服务API,应用程序工件不会持久存储在设备上(尽管本地存储可以用作缓存)。
案例研究:云硬盘收购。云驱动器服务,如Dropbox、Google drive和Microsoft OneDrive是本地存储设备的SaaS版本,是现代数字取证的核心。云硬盘收购问题是一个明确的第一步调查,它很好地说明了SaaS在取证方面所面临的挑战和机遇。
起初,简单地复制驱动器内容的本地副本似乎是一个简单而有效的解决方案。然而,这种方法不能保证精度以及收购的完整性。具体而言,有三个主要问题:
部分复制。最明显的问题是,无法保证连接到帐户的任何客户端都会拥有(云)驱动器内容的完整副本。随着数据在线积累,在每个设备上保留完整副本很快变得不切实际;事实上,很可能大多数用户都没有一个完整的数据拷贝的设备。此外,获取工具需要直接访问云驱动器的元数据以确定其内容;没有这些信息,采集的质量是未知的,可能会受到陈旧和遗漏的数据的影响。
修订获取。大多数驱动器服务提供某种形式的修订历史记录;回顾周期各不相同,但这是用户期望的标准特性,尤其是在付费服务中。尽管传统取证中有一些类似的数据源,例如重要操作系统数据结构的存档版本,但云应用程序中修订信息的数量和粒度在定性和定量上都有所不同。修订版驻留在云中,客户端的缓存中除了最新版本之外很少有其他内容;客户端收购显然会错过先前的修订,甚至无法识别这些遗漏。
云原生工件。向基于web的应用程序的大规模移动意味着取证需要学习如何处理一个新问题——在本地文件系统中没有序列化表示的数字工件。例如,GoogleDocs文档作为文档的链接存储在本地,只能通过web应用程序进行编辑。在没有文档实际内容的情况下获取不透明链接具有最小的取证效用。大多数服务都提供了以标准格式(如PDF)导出web应用程序工件的方法;然而,这只能通过直接从服务(手动或通过API)请求来实现。
总之,将传统的客户端方法用于推动SaaS收购,存在着无法弥补的重大概念缺陷;需要一种新的方法,直接从云服务获取数据。
原文始发于微信公众号(河南等级保护测评):网络安全取证(十六)云取证
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论